コンテンツにスキップ

Webアプリケーションセキュリティアセスメント🔗

サービス概要🔗

Secureworksは、1つのWebアプリケーションに対してWebアプリケーションセキュリティアセスメントを実施します。これには、アプリケーションの状態を分析して脆弱性を特定し、最終レポートをお客様に提供することが含まれます。Secureworksは、Open Web Application Security Project (OWASP) Testing Guide、Open Source Security Testing Methodology Manual (OSSTMM)、ベンダー固有のセキュリティドキュメント、そしてSecureworksチームメンバーの経験に基づいた業界標準のフレームワークを用いた独自の手法を使用します。

サービス手法🔗

Secureworksは、初回ミーティングを設定し、エンゲージメントルール、工数、スコープ、リスク受容、レポート要件、テストのタイムラインおよびスケジュールを確定します。

アセスメントは以下のように実施されます。

自動テスト:

リコナイサンスおよびアプリケーションマッピングのために、自動化ツールを使用してアプリケーションを迅速に列挙・マッピングし、手作業では多大な労力を要する作業を実施します。これらのツールは、構成上の問題、既知の脆弱性、Webアプリケーションにおける一般的なエラーを検出します。初期スキャン完了後、Secureworksが手動で結果を分析・検証し、誤検知を排除し、発見事項に現れる顕著なパターンを検出します。自動テストでは、既知のインジェクション脆弱性、エラーハンドリングの問題、既知の構成上の問題、既知のプラットフォームやコードベースの脆弱性、本番システムに保存されたバックアップファイルなど、潜在的な脆弱性が明らかになります。

手動テスト:

Secureworksは、追加の脆弱性検証および脆弱性に対するエクスプロイト実施のため、アプリケーションに対して手動テストを行います。手動テストには、アクセス制御のレビュー、変数の操作(例:Cookieの改ざん)、ビジネスロジックのテスト、重大度の低い脆弱性を組み合わせて重大度の高いエクスプロイトを作成することなどが含まれます。手動テストでは、以下のようなよく知られた脆弱性カテゴリを調査します:Open Web Application Security Project (OWASP) Top 10および過去のOWASP脆弱性。

手動テストでは、少なくとも以下の脆弱性カテゴリをチェックします。

OWASP Top 10:

  • インジェクション
  • 認証の不備
  • 機密データの露出
  • 拡張マークアップ言語("XML")外部エンティティ("XXE")
  • アクセス制御の不備
  • セキュリティ設定ミス
  • クロスサイトスクリプティング("XSS")
  • 安全でないデシリアライゼーション
  • 既知の脆弱性を持つコンポーネントの使用
  • ログおよび監視の不十分

過去のOWASP脆弱性:

  • 不正なファイル実行
  • 情報漏洩および不適切なエラーハンドリング
  • 未検証の入力
  • バッファオーバーフロー
  • URLアクセス制限の失敗
  • 安全でない暗号化ストレージ
  • トランスポート層保護の不十分
  • セッション管理
  • 安全でない直接オブジェクト参照
  • 機密データの露出
  • 機能レベルのアクセス制御の欠如
  • クロスサイトリクエストフォージェリ(CSFR)
  • 未検証のリダイレクトおよびフォワード

修正検証:

Secureworksは、最終レポートに記載された重大度「高」および「クリティカル」の発見事項に対して、1回の修正検証(RV)を実施します。最終レポートが納品された後、お客様は90日以内に問題を修正し、RVのスケジュールを設定し、SecureworksにRVの実施を依頼する必要があります。RVのリクエストは、最終レポート納品から30日以内にWebサービステストのSecureworks担当者宛てにメールで提出する必要があり、これを過ぎるとRVの権利は失効します。Secureworksは、RVの結果を要約した簡易レポートを発行し、問題が正常に修正されたかどうかの情報を含みます。

注意: Secureworksは、Webサービステストがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれる場合があります。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了前にお客様からコメントが提出されない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先に対して、Secureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、当該メール確認から5営業日以内にサービスは完了したものとみなされます。

スコーピング情報🔗

アセスメントの購入オプションは「小規模」「中規模」「大規模」があり、Webアプリケーションの種類によって適切なサイズが決定されます。

スコープ 説明
Webアプリケーションセキュリティアセスメント - 小規模 最大40のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。
Webアプリケーションセキュリティアセスメント - 中規模 最大60のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。
Webアプリケーションセキュリティアセスメント - 大規模 最大80のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。

作業はSecureworksコンサルタントの営業時間内に実施されます。営業時間外の対応は追加費用で利用可能です。

本サービスの詳細なサービス説明はこちらをご覧ください: Web Application Security Assessment